Intervention de Général Didier Tisseyre

Dans un rapport tel que celui de septembre 2019, ce qui est important, c'est d'être assez clair sur ce que l'on est capable de faire, sans définir trop précisément les seuils. L'ennemi, et surtout l'ennemi étatique, va regarder jusqu'où il peut aller et s'il comprend qu'il peut avoir un certain impact en restant au-dessous d'un certain seuil, il procédera de cette manière.

En revanche, il faut que soient bien définies les possibilités de défense, de riposte, qui sont offertes, avec une palette d'effets très large. Notre capacité de détection et notre veille sont aux niveaux les plus fins : s'il se passe la moindre chose, il faut qu'on soit capable de s'en rendre compte. C'est ensuite que l'on décide ce que l'on fait, en fonction du seuil, de la nature de l'attaque, etc. Le contenu de ce rapport est suffisant pour avoir un positionnement assez précis tout en ne portant pas trop d'éléments sur ces seuils à la connaissance d'un attaquant.

À l'inverse de l'OTAN, l'Union européenne est un peu plus tournée vers la cybersécurité et un peu moins vers la cyberdéfense militaire. C'est donc plutôt l'ANSSI qui est sa première interlocutrice. Mais nous nous tenons bien sûr au courant de ce que peut faire l'ENISA pour le développement de capacités dans un cadre OTAN et avec certains budgets. Il y a un côté dual cybersécurité/cyberdéfense militaire et on peut retrouver des mécanismes similaires. En tant que COMCYBER, nous nous sommes positionnés comme observateur dans un certain nombre de groupes de travail ou de groupes de développement des capacités en matière de cyberdéfense et cybersécurité. Bien évidemment, nous sommes plus présents encore dans les opérations et les structures de commandement de l'Union européenne, l'État-major de l'Union européenne, etc.

En ce qui concerne la menace pour la France, celle d'un Pearl Harbour est possible, évidemment. C'est ce que répète régulièrement Guillaume Poupard, directeur général de l'ANSSI. C'est envisageable parce qu'on découvre un certain nombre de logiciels prépositionnés, et parce que notre maturité technologique nous permet de mieux découvrir et mieux comprendre ces bouts de code qui étaient passés en dessous des radars. Nos radars sont désormais plus puissants, plus performants. Il faut faire en sorte que l'ensemble des entités, y compris les opérateurs d'importance vitale, soient plus ouverts à ces questions, comprennent mieux ces éléments. La loi permet à l'ANSSI de positionner des sondes chez ces opérateurs, mais aussi de créer des contacts pour pouvoir mieux connaître, mieux partager, et bénéficier davantage des éléments que peut apporter l'ANSSI. On est entré dans une dynamique d'ouverture, de compréhension, de la part de tout le monde. La réticence, la peur de se faire taper sur les doigts parce qu'on n'est pas au niveau, diminuent, même si nous devons poursuivre nos efforts de pédagogie. L'ANSSI en fait beaucoup. Mais le principe est d'éviter ce Pearl Harbour, d'éviter qu'un jour on se réveille dans la difficulté. Pour cela, nous devons en particulier faire comprendre aux OIV qu'il faut avancer dans ce domaine.

S'agissant des technologies qui peuvent se révéler destructives, l'IA est un bon exemple car elle peut permettre de faire énormément de choses, mais on peut aussi penser à la combinaison de plusieurs technologies. En matière de détection par exemple, on utilisait beaucoup les détections périmétriques, sur les flux entrants et sortants, en y cherchant des malwares. Mais on a compris qu'il est aussi important d'aller carrément sur les postes de travail voir ce qui s'y passe ; d'aller dans les serveurs où il y a les données ; d'aller dans les serveurs où il y a les applicatifs. Il est important d'avoir une vision plus globale des systèmes pour voir quel est le comportement normal d'un système d'information. L'IA va précisément nous permettre de caractériser un comportement normal et de pointer un comportement qui ne l'est pas. Cette aptitude à intégrer diverses technologies est essentielle, d'où l'importance de disposer d'équipes pluridisciplinaires.

En 2017, le ministère des armées a subi environ 700 tentatives d'attaque. il s'agissait de cybercriminalité dans 90 % des cas et nous n'étions donc pas ciblés. Dans les 10 % restants, nous étions ciblés par un groupe élaboré, évolué. En 2018, on a compté environ 830 événements, avec ces mêmes pourcentages. En 2019, le total est monté à 850 mais on ne voit pratiquement plus d'attaques de groupes très élaborés, avec des signatures caractéristiques.

La première réaction est de se réjouir qu'on ne nous attaque plus parce qu'on sait que nous sommes bien protégés. La deuxième peut être de penser que nos attaquants sont en train d'utiliser des outils beaucoup plus discrets, ou qu'ils utilisent des outils de cybercriminalité pour nous induire en erreur alors qu'ils ont une stratégie d'action cachée. Ces constatations sont alignées avec celles de l'ANSSI ou d'autres services de renseignements. Peut-être parce que certains ont été pointés du doigt ou parce qu'on a publié beaucoup sur la connaissance des modes opératoires de tel et tel groupe rattaché potentiellement à des acteurs étatiques, les attaquants sont aujourd'hui de plus en plus discrets ; les attaques sont de plus en plus sophistiquées et on les voit moins. Il faut donc être encore plus vigilant.

Je parlais de groupes élaborés, mais qu'en est-il des attaques dites « du pauvre » ? Il y a en effet un risque car on trouve aujourd'hui relativement facilement sur le dark web des outils prépackagés qui permettent de mener un certain nombre d'attaques pour quelques dizaines ou quelques centaines de milliers d'euros. Dans la société en général, ce sont souvent des rançongiciels : il est assez facile finalement de bloquer un système car malheureusement tout le monde ne sauvegarde pas ces données et n'est pas capable de restaurer ses équipements rapidement. Les attaquants jouent sur ce manque de prévoyance et, au bout du compte, certains préfèrent payer la rançon plutôt que la reconstruction onéreuse de leur système. Le coût des attaques de type WannaCry et NotPetya se chiffre en centaines de millions d'euros alors que les mener n'a sans doute coûté qu'1 million d'euros, pas plus.

Vous m'avez demandé ce qu'il en était de notre souveraineté, notre indépendance, notre autonomie nationale. L'autonomie stratégique nationale coûte cher. Nous sommes autonomes sur le plan du chiffrement, par exemple. Ce sont des chiffreurs français, avec des composants français, toute une procédure française, et cela a un coût. Cette cyberprotection régalienne, c'est la moitié des investissements budgétaires en matière de cyber au sens large.

Se pose la question de l'équilibre entre le risque d'utiliser des technologies développées par d'autres pays et le niveau de sécurité que l'on souhaite avoir. On n'aura jamais une sécurité à 100 %. Pour le plus essentiel, le plus régalien – je pense au nucléaire, au chiffrement des données – il faut engager les budgets dont on a besoin pour être assuré du plus haut niveau de souveraineté et de robustesse. Pour le reste, il faut analyser le niveau de risque consenti. Si c'est uniquement pour « surfer » sur internet, il n'y a pas forcément besoin d'avoir des équipements hypersophistiqués. Ils peuvent être achetés un peu n'importe où, à partir du moment où l'on instaure des mécanismes de supervision. C'est là aussi une approche globale : il ne faut pas voir un équipement en particulier, même si cet équipement peut présenter un niveau de risque potentiellement élevé.

La question des satellites est très sensible, car évidemment une fois que le satellite est parti, il peut être parti avec des vulnérabilités et des malwares à l'intérieur. Ce sont des mécanismes très précis et très pointus de contrôle, et de contrôle étatique. Si c'est le ministère des armées qui commande un satellite, on adopte bien sûr des procédures très strictes, au travers de la DGA, de la DRSD (Direction du renseignement et de la sécurité de la Défense), du commandement de la cyberdéfense. Il s'agit d'aller voir, d'aider à comprendre le réseau et les mécanismes de sécurité, d'ouvrir un peu plus les portes pour avoir un meilleur contrôle, sur l'ensemble de la chaîne : les systèmes d'information pour la conception, les systèmes eux-mêmes, et ainsi suite… On s'est renforcé encore et encore dans ce secteur, en raison précisément de la vulnérabilité de ces systèmes.

Il faut aujourd'hui se mettre dans une posture d'utilisation maximale des possibilités pour garantir la supériorité opérationnelle de nos forces déployées en opération. À partir du moment où un moyen naval, aérien, terrestre est déployé à proximité d'un théâtre d'opérations, on pense de plus en plus à ce qu'il soit un relais, un relais cyber, un relais d'opérations cyber, au même titre qu'il faut bien évidemment intégrer – et de plus en plus – sa propre défense parce qu'il va être amené à croiser dans les eaux internationales, près de certaines côtes. D'autres savent que nos systèmes sont numérisés, interconnectés avec la métropole. Il y a donc des portes d'entrée qu'ils peuvent essayer de franchir pour pénétrer dans le système. Cela entraîne une montée en gamme, à la fois défensive et offensive, par rapport à l'action militaire que l'on souhaite mener.

En termes de ressources humaines, on peut considérer que deux cinquièmes de nos effectifs se consacrent à l'offensif et trois cinquièmes au défensif. Ce rapport sera certainement amené à évoluer. Peut-être que dans quelques années, avec la maturité de nos capacités offensives et les mises à disposition par chaque armée, pour soutenir leurs manœuvres, de capacités offensives, le rapport s'inversera. L'offensif, c'est ce qui attire le plus, mais le défensif est plus fort et réunit les vrais experts dans un périmètre plus large. Bien sûr, ils doivent connaître l'offensif pour faire du défensif mais il ne faut surtout pas lever le pied sur la défense : si une attaque systémique ennemie passe, tous nos systèmes seront bloqués. On ne doit jamais négliger le défensif, la protection, qui est une sorte d'hygiène de base.

Quelques chiffres à propos de la réserve opérationnelle. Nous avons un objectif de 400 réservistes opérationnels, répartis dans nos unités pour qu'ils puissent y travailler au quotidien et où ils passent en moyenne une trentaine de jours par an. Nous avons atteint à peu près la moitié de notre objectif. Ces réservistes opérationnels nous apportent leur expertise et une vision différente, à tel point que nous les utilisons par exemple dans le cadre de Bug Bounty, donc de tentatives de pénétration de système, sur des systèmes de sites internet des armées. Ces opérationnels que l'on connaît bien tentent de pénétrer ces systèmes – donc dans un cadre clairement défini – pour nous aider à renforcer leur robustesse, en complément d'équipes dont nous disposons en propre pour mener ces audits.

L'OTAN doit bien évidemment assurer sa cyberdéfense, c'est essentiel par rapport à ses propres structures de commandement et à ce qui est déployé sur les théâtres d'opérations. Mais elle doit aussi intégrer le cyber offensif. Cela se fait non par un développement en propre de capacités offensives de l'OTAN mais au travers de la mise à disposition par des nations de ce qu'on appelle des « effets souverains », c'est-à-dire de capacités offensives qui, parce qu'il s'agit d'un domaine sensible, sont maintenues et gardées par les nations, n'entrent pas dans une mise à disposition de la totalité des connaissances.